Sabo3eur
1st August 2013, 10:39 PM
یکی از بخش های وبلاگ که تنوع بسیار زیادی در آن دیده می شود و طرفداران فراوانی هم دارد، قالب یا تم (Template or Theme) آن است که در حقیقت نمای ظاهری سایت و وبلاگ را می سازد.
بسیاری از صاحبان سایت ها و وبلاگ ها در اولین قدم، به دنبال ظاهری زیبا، موجه و مورد پسند ذائقه خود و مخاطب شان هستند و گاها از قالب های آماده استفاده کرده یا اینکه به طراحی و سفارش قالب اختصاصی می پردازند. در نگاه اول شاید قالب فقط تشکیل شده از چند خط کد و تعدادی عکس باشد که از نقطه نظر امنیتی اهمیت چندانی ندارد. اما در واقع، می تواند تبدیل به یکی از بزرگترین نقاط ضعف امنیتی وبلاگ گردد. زیرا برای نمایش وبلاگ، لازم است تمامی کدهای درون تمپلیت اجرا شده و مرتبا با دیتابیس در ارتباط باشند. لذا به راحتی می توان با قرار دادن برخی کدهای مخرب درون قالب و عرضه رایگان آن، سایت ها و وبلاگ های فراوانی را آلوده کرد. در بحث انتخاب قالب، صاحبان وبلاگ و وب سایت معمولا دو رویه را دنبال می کنند. گروهی با پرداخت هزینه به طراحی قالب و تمپلیت اختصاصی روی می آورند و گروه دیگری هم از تمپلیت های آماده رایگان و غیر رایگان استفاده می کنند. در این میان هر دو گروه در معرض خطرات امنیتی مرتبط با قالب قرار دارند، اما میزان ریسک و آسیب پذیری گروه اول بسیار کمتر است. زیرا احتمال اینکه فردی با دریافت هزینه، تمپلیت اختصاصی برای شما طراحی کند که حاوی کدهای مخرب باشد، بسیار کمتر از این است که افرادی تمپلیت های آماده رایگانی حاوی کد مخرب در اختیارتان بگذارند. پس بهتر است که تا حد امکان از قالب های اختصاصی استفاده کرده و آنها را به شرکت یا افراد معتبر و مطمئن سفارش دهیم. اما باز هم نباید ۱۰۰ درصد به این قالب اعتماد کنیم و لازم است کدهای آن را قبل از استفاده کنترل کنیم. در مورد قالب های رایگان هم که کاملا ضروری است قبل از هر کاری تمامی کدها و فایل های آن را کنترل کرده و مراقب دستورات مخرب باشیم. توجه داشته باشید که آسیب پذیری قالب، تنها از کدهای اولیه قالب نیست و می تواند در اثر اضافه کردن برخی بخش ها به آن، ایجاد شود. مانند کدهای HTML یا جاوا اسکریپتی که برای باکس چت، شمارنده یا دیگر افزونه ها به قالب افزوده می شوند. مثلا یک شمارنده بازدیدکنندگان شاید بخش مفیدی برای پیگیری میزان استقبال از وبلاگ شما باشد، اما به طور همزمان ممکن است مشغول جمع آوری اطلاعات در خصوص عادات آنلاین کاربران شما برای شرکت های تبلیغاتی باشد. همچنین یک قالب رایگان می تواند حاوی کدهایی برای تبلیغات Pop-up بوده یا لینک هایی به سایت های خطرناک در پوشش نام های اعتماد برانگیز درون خود داشته باشد. یا اینکه حتی قالبی که به صورت فایل زیپ دانلود می شود، می تواند هیچ خطری برای وبلاگ شما نداشته و حاوی کد مخربی برای آن نباشد، اما بدافزار یا تروجان خاصی را بر روی کامپیوتر شما نصب کند.
بسیاری از صاحبان سایت ها و وبلاگ ها در اولین قدم، به دنبال ظاهری زیبا، موجه و مورد پسند ذائقه خود و مخاطب شان هستند و گاها از قالب های آماده استفاده کرده یا اینکه به طراحی و سفارش قالب اختصاصی می پردازند. در نگاه اول شاید قالب فقط تشکیل شده از چند خط کد و تعدادی عکس باشد که از نقطه نظر امنیتی اهمیت چندانی ندارد. اما در واقع، می تواند تبدیل به یکی از بزرگترین نقاط ضعف امنیتی وبلاگ گردد. زیرا برای نمایش وبلاگ، لازم است تمامی کدهای درون تمپلیت اجرا شده و مرتبا با دیتابیس در ارتباط باشند. لذا به راحتی می توان با قرار دادن برخی کدهای مخرب درون قالب و عرضه رایگان آن، سایت ها و وبلاگ های فراوانی را آلوده کرد. در بحث انتخاب قالب، صاحبان وبلاگ و وب سایت معمولا دو رویه را دنبال می کنند. گروهی با پرداخت هزینه به طراحی قالب و تمپلیت اختصاصی روی می آورند و گروه دیگری هم از تمپلیت های آماده رایگان و غیر رایگان استفاده می کنند. در این میان هر دو گروه در معرض خطرات امنیتی مرتبط با قالب قرار دارند، اما میزان ریسک و آسیب پذیری گروه اول بسیار کمتر است. زیرا احتمال اینکه فردی با دریافت هزینه، تمپلیت اختصاصی برای شما طراحی کند که حاوی کدهای مخرب باشد، بسیار کمتر از این است که افرادی تمپلیت های آماده رایگانی حاوی کد مخرب در اختیارتان بگذارند. پس بهتر است که تا حد امکان از قالب های اختصاصی استفاده کرده و آنها را به شرکت یا افراد معتبر و مطمئن سفارش دهیم. اما باز هم نباید ۱۰۰ درصد به این قالب اعتماد کنیم و لازم است کدهای آن را قبل از استفاده کنترل کنیم. در مورد قالب های رایگان هم که کاملا ضروری است قبل از هر کاری تمامی کدها و فایل های آن را کنترل کرده و مراقب دستورات مخرب باشیم. توجه داشته باشید که آسیب پذیری قالب، تنها از کدهای اولیه قالب نیست و می تواند در اثر اضافه کردن برخی بخش ها به آن، ایجاد شود. مانند کدهای HTML یا جاوا اسکریپتی که برای باکس چت، شمارنده یا دیگر افزونه ها به قالب افزوده می شوند. مثلا یک شمارنده بازدیدکنندگان شاید بخش مفیدی برای پیگیری میزان استقبال از وبلاگ شما باشد، اما به طور همزمان ممکن است مشغول جمع آوری اطلاعات در خصوص عادات آنلاین کاربران شما برای شرکت های تبلیغاتی باشد. همچنین یک قالب رایگان می تواند حاوی کدهایی برای تبلیغات Pop-up بوده یا لینک هایی به سایت های خطرناک در پوشش نام های اعتماد برانگیز درون خود داشته باشد. یا اینکه حتی قالبی که به صورت فایل زیپ دانلود می شود، می تواند هیچ خطری برای وبلاگ شما نداشته و حاوی کد مخربی برای آن نباشد، اما بدافزار یا تروجان خاصی را بر روی کامپیوتر شما نصب کند.